MyVault
← Back to Blog

AI 앱에 은행 명세서를 업로드해도 안전할까요? 솔직한 답변

AI 개인금융 앱에 은행 명세서를 업로드했을 때 데이터에 실제로 어떤 일이 일어나는지, 개인정보 보호정책에서 무엇을 봐야 하는지, 그리고 대안과 비교했을 때 진짜 위험을 어떻게 평가할지.

9 min readTimur Shagiakhmetovprivacy · security · ai

어떤 AI 개인금융 앱이든 결국 조심스러운 사용자가 같은 질문을 하게 됩니다. “이게 안전할까?” 이 질문은 이 분야에서 가장 큰 반대 의견이고, 또한 정당한 반대입니다—은행 명세서에는 해당되는 사람을 사칭하거나 프로필을 만들거나 소셜 엔지니어링을 시도할 만큼의 정보가 들어 있습니다. 솔직한 답은 “상황에 따라 다르며, 정확히 무엇을 봐야 하는지가 중요하다”입니다.

저희는 업로드한 은행 명세서를 처리하는 AI 앱인 MyVault를 만들고 있습니다. 저희는 이 질문을 친구나 가족이 물을 때 이렇게 답합니다—가능한 한 있는 그대로, 담백하게.

은행 명세서에 실제로 무엇이 들어 있나요

일반적인 명세서에는:

  • 이름과 우편 주소.
  • 계좌번호(대개 일부가 가려짐: 마지막 4자리 또는 마지막 6자리).
  • 은행의 라우팅 번호(보통 전체로 인쇄되어 있음).
  • 날짜, 거래처 설명(디스크립터), 금액이 포함된 항목별 거래 내역.
  • 개시 잔액과 마감 잔액.
  • 명세서를 스캔한 이미지가 PDF의 일부라면 이미지도 확인할 수 있을 수 있습니다.

민감도 측면에서는 이 정도는 ‘중간 정도로 민감’합니다. 쇼핑 내역보다는 더 민감하고, 여권 스캔보다는 덜 민감합니다. 가려진 계좌번호만으로는 보통 계좌 접근에 쓰일 수 없지만, 다른 출처에서 얻은 개인 정보와 결합되면 소셜 엔지니어링 시도를 뒷받침할 수 있습니다. 명세서는 세금 신고서 다루듯이 똑같이 조심해서 취급하세요.

AI 금융 앱이 파일을 실제로 어떻게 처리하나요

기술적으로 은행 명세서를 처리하는 과정은 네 단계로 나뉩니다:

  1. 업로드 — 파일이 브라우저에서 앱의 서버로 이동하며, 이상적으로는 HTTPS와 TLS 1.2 이상을 사용합니다. 이건 온라인 뱅킹에서 은행이 사용하는 것과 같은 암호화입니다.
  2. 파싱 — 서버가 PDF에서 텍스트를 추출합니다. 이 단계에서는 로컬 PDF 라이브러리, 서드파티 OCR 서비스, 또는 LLM을 사용할 수 있습니다. 선택은 개인정보 보호에 중요합니다. 로컬 라이브러리는 데이터가 앱의 서버 안에 머물게 하지만, 서드파티 OCR은 파일을 다른 벤더로 보냅니다.
  3. 분류(카테고리화) — 추출된 거래 항목들이 AI 모델로 보내져 카테고리 라벨을 반환받습니다. 일부 앱은 자체 인프라에서 모델을 돌리지만, 대부분은 OpenAI, Anthropic, 또는 Google을 사용합니다. 데이터 흐름이 정확히 어떻게 되는지가 중요합니다. 어떤 앱은 거래처 설명(낮은 위험)만 보내고, 어떤 앱은 금액까지 포함한 전체 거래(중간 위험)를 보내며, 어떤 앱은 명세서 전체 파일(더 높은 위험)을 보냅니다.
  4. 저장 — 파싱된 거래가 앱의 데이터베이스에 저장됩니다. 원본 PDF는 앱의 정책에 따라 삭제되거나 일정 기간 보관되거나 무기한 보관될 수 있습니다.

업로드 전에 확인할 것

1. 유효한 인증서가 있는 HTTPS

브라우저 주소창에 유효한 인증서가 표시되어야 합니다. 업로드 중 어떤 경고라도 보이면 멈추세요. 이건 최소한의 기준입니다.

2. 명확하고 읽기 쉬운 개인정보 보호정책

다음 질문에 대한 명시적 답이 있는지 확인하세요:

  • 내 데이터는 어디에 저장되며, 관할권은 어디인가요?
  • 업로드한 명세서는 보관되나요, 그리고 얼마나 오래 보관되나요?
  • 거래 또는 문서 내용이 서드파티 AI 제공업체로 전송되나요?
  • 내 데이터는 AI 모델 학습에 사용되나요?
  • 내 계정을 삭제하면 내 데이터는 어떻게 되나요?

어느 하나라도 답이 모호하면 위험 신호입니다. 예를 들어 “어떤 목적이든 파트너와 데이터를 공유할 수 있습니다”라고 말하는 개인정보 보호정책은 절대 안 됩니다.

3. 저장 시 암호화

앱의 데이터베이스는 저장 시(휴면 상태) 데이터를 암호화해야 합니다. 대부분의 관리형 데이터베이스(AWS RDS, Google Cloud SQL, 동급)는 기본적으로 이를 지원하지만, ‘애플리케이션 계층’에서 실제로 사용하고 있는지가 문제입니다.

4. 이중 인증(2FA)

거래 내역을 보관하는 모든 계정은 2FA를 지원해야 하며, 가능하면 SMS보다 인증 앱(인증자 앱) 방식을 쓰세요. 사용해야 합니다.

5. 진짜 삭제 기능

삭제 옵션이 데이터를 ‘숨기기만’ 하고 실제로 제거하지 않는다면 삭제가 아닙니다. 개인정보 보호정책에는 계정 삭제가 업로드한 파일과 데이터베이스의 레코드를 단순히 계정 기록만 지우는 게 아니라 실제로 제거한다고 명시되어 있어야 합니다.

AI 앱과 대안의 비교

“이게 절대 안전한가?”를 기준으로 평가하고 싶어지는 건 당연하지만, 정답 비교는 대안과 비교하는 것입니다. 아무것도 하지 않는 것도 ‘선택’이며, 그 선택에는 위험이 있습니다.

Plaid 기반 집계기(애그리게이터)

Mint(역사적으로), Monarch, Copilot, YNAB 같은 앱들은 Plaid 또는 유사한 집계기를 사용해 은행 데이터를 읽습니다. 이렇게 하려면 Plaid에 은행 로그인 정보를 제공해야 합니다. Plaid는 그 자격 증명을 저장하고, 반복적으로 계정을 읽는 데 사용합니다. 집계기는 보안 기록이 강하지만, 업로드 기반 앱과는 위협 모델이 다릅니다. Plaid가 침해되면 은행 자격 증명이 노출됩니다. 반면 명세서 업로드 앱이 침해되면 자격 증명 없이도 명세서 데이터만 노출될 수 있습니다.

스프레드시트와 이메일

많은 사람이 명세서 PDF를 이메일에 무기한 보관하거나, 거래 데이터를 Google Sheets에 붙여 넣고 잊어버립니다. 이는 잘 운영되는 AI 앱보다 더 안전하지 않을 수 있으며, 이메일과 소비자용 클라우드 저장소의 침해가 흔하다는 점을 고려하면 오히려 더 덜 안전할 수 있습니다.

아무것도 하지 않기

금융 앱을 쓰지 않는 가장 일반적인 대안은 ‘아예 시스템이 없는 것’입니다. 그런데 이에도 비용이 있습니다. 사기성 청구를 놓칠 수 있고, 구독을 잊어버리며, 지출이 모니터링되지 않습니다. 몇 년에 걸쳐 지출을 추적하지 않았을 때의 금전적 비용은, 평판 좋은 추적기를 쓰는 최악의 개인정보 위험보다 더 크게 나타나는 경우가 많습니다.

MyVault가 특히 하는 일

저희는 우리가 하는 일을 그대로 써서—다른 앱을 평가할 때 비교할 수 있게—명확히 보여드리겠습니다:

  • 저희는 절대 은행 자격 증명을 요구하지 않습니다. 저희 흐름에는 Plaid가 없습니다. 사용자가 업로드하는 파일은 세금 준비를 위해 다운로드하는 ‘같은 파일’입니다.
  • 업로드한 명세서는 거래를 추출하기 위해 한 번 처리합니다. 파싱된 거래는 보관하지만, 사용자가 보관을 선택하지 않는 한 원본 파일은 처리 후 삭제합니다(일부 사용자는 명세서를 검색 가능한 아카이브로 저장하고 싶어합니다).
  • 거래 설명(디스크립터)과 금액은 분류를 위해 대형 언어 모델에 전송됩니다. 저희는 어떤 경우에도 이름, 주소, 계좌번호를 모델에 보내지 않습니다. 모델 제공업체는 학습을 위해 입력을 보관하지 않습니다.
  • 계정 삭제는 업로드한 파일, 파싱된 거래, 그리고 계정 레코드를 저희 시스템에서 제거합니다(짧은 법적 보관 기간은 예외일 수 있음).
  • 저희는 2FA를 지원합니다. 강력히 활성화를 권장합니다.

실용적인 조언

아직 망설이고 있다면:

  • 먼저 전체 기록이 아니라 최근 명세서 1개만 업로드해 보세요. 커밋하기 전에 어떻게 동작하는지 확인할 수 있습니다.
  • 고유하고 강력한 비밀번호를 사용하고, 계정을 만드는 즉시 2FA를 활성화하세요.
  • 개인정보 보호정책을 실제로 읽어보세요. 보통은 짧습니다.
  • 뭔가 이상하다 싶으면(정책이 모호함, 계정 삭제 없음, 호스팅이 수상함, 2FA 없음) 다른 앱을 선택하세요.

주의 깊게 처리한다면, 평판 좋은 AI 개인금융 앱에 은행 명세서를 업로드하는 것은 감당 가능한 수준의 위험이며, 지출에 대한 ‘현실적인 명확함’을 얻을 수 있습니다. 잘못된 질문은 “100% 안전한가요?”입니다(아무것도 100%는 없습니다). 올바른 질문은 “위험이 가치보다 더 작은가, 그리고 대안보다 더 작은가?”입니다.

업로드하기 전에 MyVault의 개인정보 보호정책을 읽어보세요. 이해되지 않는 부분이 있으면 저희에게 직접 물어보세요—답변해 드립니다. MyVault’s privacy policy. 업로드하기 전에 MyVault의 개인정보 보호정책을 읽어보세요. 이해되지 않는 부분이 있으면 저희에게 직접 물어보세요—답변해 드립니다. ask us directly — we answer.